Digitale piraten om ons heen


Deze week las ik een artikel dat negen Androïd-apps waarmee men een auto kan openen, gaten hebben in hun beveiliging. Als een hacker de telefoon weet te hacken, dan heeft de hacker ook toegang tot de auto. Sommige van die apps zijn honderdduizenden malen gedownload, zodat nogal wat auto’s op die wijze kwetsbaar zijn geworden voor onverwachte inbraakmogelijkheden.

In de film Find my Phone van Anthony van der Meer volgde hij zijn gestolen telefoon, waarop hij van te voren spyware had gezet. Het is verbluffend wat hij vervolgens allemaal over de dief te weten kwam. Joannie de Rijke schreef hier een leuk artikel over in Knack: “hij filmde de man, maakte foto’s van hem, luisterde zijn gesprekken af en volgde zijn ontmoetingen”. Met als conclusie, dat anderen dat ook met jouw telefoon kunnen als het hen lukt die spyware op jouw toestel te plaatsten.

Mobiele veiligheid
In onze ‘connected’ wereld is onze telefoon steeds meer integraal onderdeel van ons privéleven geworden. Iemand die jouw activiteiten op je telefoon inhoudelijk kan volgen, kan meer van je te weten komen dan je lief is. En het gebeurt elke dag om ons heen. Er zijn steeds meer open wifi-netwerken via welke hackers zeer eenvoudig je telefoon kunnen binnendringen. Zelf ben ik steeds voorzichtiger geworden met het gebruik van openbare wifi-netwerken en blijf maar veilig op het 3G- of 4G-netwerk. Mijn ervaring is dat een 4G-verbinding vaak zelfs sneller is dan een lokaal wifi-netwerk. Aan je eigen mobiele veiligheid kun je gelukkig zelf iets doen.

Maar als er iets bij bedrijven misgaat met jouw data, kun je daar weinig aan doen. Denk aan het bericht laatst dat Yahoo in 2013 is gehacked en dat mogelijk meer dan een miljard (!) adressen en inlogcodes zijn ontvreemd. Dat zijn geen kleine incidenten meer. En we moeten helaas constateren dat het internet en onze persoonlijke telefoons en tablets na tien jaar innovatie nog steeds écht niet veilig zijn.

Meldplicht
De Amerikaanse beurswaakhond SEC onderzoekt nu waarom Yahoo hiervan zo laat pas aangifte heeft gedaan. Het datalek werd pas enkele jaren later – in 2016 – gemeld. Gelukkig wordt de wetgeving rond het melden van datalekken flink aangetrokken. Ook in Nederland is sinds 1 januari 2016 een meldplicht voor datalekken. Zodra een organisatie een datalek ontdekt, dient zij dat terstond te melden bij de Autoriteit Persoonsgegevens en daarnaast aan de betrokkenen, als er mogelijk persoonsgegevens in het spel zijn.

Voorbeelden van datalekken zijn er te over: kwijtgeraakte USB-sticks, gestolen laptops en inbraken in de informatie-infrastructuur. Een datalek is niet alleen het lekken van persoonsgegevens als dit niet de bedoeling is. Maar het betreft ook de onrechtmatige verwerking van gegevens, die je wettelijk niet in bezit zou mogen hebben. Dus als je niet weet welke (oneigenlijke) informatie je in huis hebt gekregen, ligt er al een risico op de loer dat er ongemerkt de wet wordt overtreden.

Eigen veiligheid
Hoe kun je nu in deze gevaarlijke, open internetwereld toch zelf je eigen veiligheid vergroten? Zoals ik al zei, alleen op echt betrouwbare wifi-netwerken inloggen en bij twijfel gewoon via je mobile provider werken. Die verbindingen zijn in principe veilig. Ook is het steeds makkelijker om via VPN-verbindingen te werken. Op die manier creëert de server waar je mee verbonden bent, met jouw telefoon een apart versleuteld netwerk. Hierdoor is uitgewisselde informatie door derden niet meer te herkennen.

Daarnaast is tweestapsverificatie een prima controle. Het is iets onhandiger om even snel in te loggen, maar een grote stap in veiligheid. En de meeste grote bedrijven hebben deze techniek tegenwoordig in huis. En gelukkig wordt ook steeds meer end-to-end encryptie toegepast. Dus velen zijn bezig om de veiligheid waarmee we met elkaar communiceren en zakendoen serieus te verhogen.

Digitale schuilkelder
Maar de tegenstanders zitten niet stil en worden op hun beurt steeds handiger en geslepener. Niet alleen in het aanvallen van individuen maar ook van de hele maatschappij. Denk aan de berichten over de buitenlandse hacks tijdens de verkiezingen in Amerika. In een aardige column van Mark Hijink in het NRC vertelt hij over de Russische chef defensiestaf Valeri Gerasimov, die al in 2013 een artikel schreef over de inzet van cyberwapens om democratische processen te verstoren.

Een cyberoorlog kun je niet winnen omdat het geen oorlog is die wordt bevochten door soldaten. Er zijn geen echte soldaten en de wapens zijn geen echte wapens. Sommigen noemen het zelfs de nieuwe, koude oorlog van het digitale tijdperk. En het is een relatief goedkope manier om oorlog te voeren, want er zijn geen grootschalige materiële investeringen voor nodig als schepen, bommenwerpers en tanks.

Als burger kun je jezelf eigenlijk amper beschermen. Je kunt geen digitale schuilkelder bouwen waarin je je kunt verstoppen als jouw maatschappij digitaal met jou communiceert. Als je digitaal moet stemmen, digitaal met je gemeente spreekt en digitaal je belastingaangifte moet doen. Vluchten uit de digitale wereld kan niet meer. Maar je kunt wel kritisch zijn op alles wat je doet in die digitale wereld. Trap niet in de klassieke fishing-aanvallen, liever tien keer te voorzichtig dan één keer te makkelijk. Zorg voor sterke wachtwoorden en authenticatie bij het inloggen.

Oorlogsdomein Cyber
Intussen heeft de NATO een cyberaanval officieel erkent als een vorm van oorlog en kan daardoor in actie komen als een lid van de alliantie wordt getroffen door een massale cyberaanval. Naast de domeinen land, zee en lucht is cyber nu als domein ‘cyber’ ook een oorlogsdomein. Vooralsnog zijn er geen plannen om cyberaanvallen offensief in te zetten en is de kern nog steeds gericht op verdediging. Zonder eigen offensieve dreigingsmogelijkheid, is dat toch een wat passieve opstelling.

In Nederland wordt een offensieve cybereenheid van defensie dit jaar operationeel en kan dan ook mee op missies in het buitenland. Het team bij defensie bestaat uit tachtig personen en bezat al enkele jaren defensieve capaciteiten. Maar nu kan men dus ook offensief mee op missies en bijvoorbeeld vijandelijke communicatiesystemen, telefoons en drones uitschakelen. Maar de belangrijkste taak is en blijft het beschermen van de eigen systemen opdat militaire operaties geen hinder ondervinden en de informatiesystemen van Defensie betrouwbaar blijven.

Digitale zee vol piraten
Een nieuwe wapenrace is wereldwijd aan de gang en als burgers zien we daar heel weinig van. De budgetten van alle defensieorganisaties groeien op dit terrein met tientallen procenten. De nieuwe regering Trump heeft al laten weten dat het zeker op dit gebied extra wil gaan investeren. Daarnaast zullen we wellicht vaker te maken krijgen met verstoringen in onze maatschappij door deze onzichtbare aanvallen.

We willen slimmere steden met meer digitale voorzieningen, maar hebben ook te maken met een groeiende, digitale onveiligheid. Die twee zaken staan tegenover elkaar. Dus is het slim om maar niet te onbesuisd te digitaliseren als er niet vanuit het ontwerp een flinke dosis veiligheid is ingebouwd. We varen als het ware over zeeën waar overal piraten kunnen opduiken. Jezelf goed beveiligen en zelfs bewapenen, is geen overbodige luxe.

The post Digitale piraten om ons heen appeared first on Datacentered.

Laat een reactie achter